我们有一个具有 3 个公共子网和 3 个私有子网的 VPC。
公共子网通过 Internet 网关到达 Internet。私有子网通过其自己的 NAT 网关(每个网关)到达 Internet。
在创建了几个批处理计算环境和 lambdas(lambdas 使用位于 ECR 存储库中的自定义映像)运行到私有子网之后,我们的账单随着 NAT 网关流量的增加而增加。
我们忘记为 S3 和 SecretManager 创建 VPC 端点。好的,我们创建了这些端点。
但是我们在 NAT 网关流量方面的费用仍然很高。
我们激活了流日志并开始了我们的任务。
我们检查了 NAT 网关和 Internet 之间的流量。都是https流量。我们推断是 AWS 服务调用了其他 AWS 服务 API。
我们创建了一些其他的 VPC 端点,这是可行的。我们的 NAT 网关流量比以前少。但是我们还有一些 https 流量。我们的应用程序不会产生这种流量。因此,我们需要更多的 AWS VPC 端点。AWS VPC 端点是有成本的。
我们如何知道我们需要哪些 VPC 端点?
流日志不是 7 层日志。有什么方法可以嗅探流量吗?